Luận văn Tiếng pháp: Commerce électronique et gestion des riques le cas du vietnam introduction

propriété industrielle constitue un atout économique et stratégique de premier plan pour les entreprises. Pour l’entreprise, plus qu’une simple protection, la propriété industrielle est un instrument de conquête et de communication. Une entreprise qui attaque et qui sait se defender se fait respecter et gagne en notoriété. Le portefeuille de propriété industrielle constitue une richesse de l’entreprise, et celle-ci peut en tirer des bénéfices importants du point de vue de la valorisation de son actif. Le vol ou la perte de fichiers clients, de « business plans » et même de présentations commerciales peuvent conduire à des poursuites judiciaires, endommager l’image de marque de la société voire entraîner une évasion rapide de sa clientèle. En outre, il faut compter le gaspillage de beaucoup de temps pour restaurer les données perdues. En conséquence, l’entreprise va perdre ses opportunités de commerce. a. Interruption des affaires L’interruption des affaires ou des services liées au risque électronique pourrait être la cause des dommages financiers. Cette interruption provoque les mauvaises conséquences comme la perte des revenus, l’augmentation des dépenses pour la réparation et la restauration des machines, la perte des clients, des partenaires et des investisseurs, la décroissance de la part de marché. Dans certains cas, cette interruption rend invalides et nul les contrats internationaux qu’on vient d’établir. b. Perte des opportunités de commerce Les attaques par déni de service sont les exemples typiques causant ce type de dommage. En conséquence, les sites Web de l’entreprise sont totalement inaccessibles pour les internautes. En cas d’interruption des affaires, l’entreprise devrait augmenter ses dépenses afin de relancer ses activités commerciales au plus vite possible. Par exemple, on augmente des frais de transportation pour livrer à temps des produits au client. Concernant le site Web, on devrait dépenser davantage pour la gestion des fournisseurs, la réparation des sites attaqués ou la restauration des informations perdues. c. Influence sur l’image de l’entreprise Le prestige est un élément très important qui décide l’existence et le développement de chaque entreprise. De plus, une fois que le prestige s’établit sur Internet – un réseau à l’échelle mondiale, n’importe quelle diminution de prestige provoquera les dommages considérables pour l’image de l’entreprise. Les pirates peuvent altérer le contenu des pages Web ou le détourner (l’adresse renvoie à un autre site). Ces menaces peuvent faire subir à l’entreprise un préjudice en termes d’image mais aussi engager sa responsabilité si les informations modifiées sont utilisées par des tiers. 3.3. Au part du consommateur 3.3.1. Dommage matériel Les cyberconsommateurs doivent faire face à des menaces causant des dommages matériels et financiers considérables. Ils doivent payer pour installer les logiciels de sécurité sur leur matériel informatique, l’entretenir périodiquement et le réparer en cas de panne. 3.3.2. Dommage immatériel Les dommages immatériels liés aux e- risques sont parfois plus graves que les dommages matériels. Ils se composent de l’usurpation des informations privées, de changement involontaire de ces informations, d’usurpation du nom pour effectuer les transactions illégales. Après avoir fait des achats sur un site Web ou seulement surfé sur ce site, les informations des utilisateurs ont été gardées par les administrateurs. Ce ne sont que les détails sur leurs nom et prénom, leur adresse, leur courriel, leur habitude ou leur désir. La violation d’identité est devenue de plus en plus populaire et son but n’est pas le même. Les informations volées ont souvent pour but de publicité. Pourtant, le rassemblement des données fournies par les internautes peut être vendu aux entreprises. En outre, ces données peuvent utilisées dans les mauvaises intentions comme racket ou terrorisme. Le changement des informations des pirates provoque aussi beaucoup de problèmes pour les internautes. Des douzaines de sociétés américaines opérant sur Internet se sont spécialisées dans la revente de relevés de communications sur téléphone portable. La vie privée relève parfois du domaine public. Epouse volage, mari infidèle… moyennant une centaine de dollars n’importe quel qui peut se procurer les relevés de communications téléphoniques mobiles de la personne de son choix. De Locatecell.com à Bestpeoplesearch.com, on ne compte plus les sociétés qui ont investi ce créneau particulièrement lucratif. Par exemple avec un frais de 110 USD, LocateCell.com va fournir à une femme les informations concernant les appels téléphoniques de son mari. Si on est d’accord de payer un petit frais de plus, LocateCell.com va révéler même l’identité et l’adresse de ceux qui ont fait ces appels. Toutes les demandes des clients sont satisfaites après seulement une heure. Sous prétexte que ces catégories de données n’ont pas des rapports avec l’escroquerie financière ou la violation des informations d’identité comme la carte de crédit…, ce type d’entreprise continue à fonctionner malgré les soucis des consommateurs. Une nouvelle étude dévoilée par Trend Micro démontre une certaine confusion dans l’esprit du grand public concernant les cybercriminels. Lorsque l’on demande à quoi pourrait ressembler un hacker, 15% des personnes interrogées le voient ainsi comme un « geek à lunettes ». Contrairement aux idées reçues, ce type de criminel n’a pas l’allure d’un gros voyou armé jusqu’aux dents ou d’un geek boutonneux aux cheveux longs. En réalité, la plupart d’entre eux ressemble finalement à Monsieur tout le monde. Rik Ferguson, expert en sécurité chez Trend Micro qui étudie de très près le monde des cybercriminels, a ainsi défini un profil-type permettant de mieux comprendre qui sont ces cybergangs, comment ils agissent et pourquoi il est primordial de protéger sa vie privée sur Internet. « Malheureusement, le monde véreux du cybercrime est bien trop souvent banalisé. La plupart des gens ne sont pas conscients que leur identité a une réelle valeur financière. Chaque petite information n’est pas vendue très chère mais, néanmoins, à l’échelle mondiale, cela représente un énorme chiffre d’affaires. J’ai souvent entendu mes amis dire ‘ De toute façon, mon compte est vide, alors pourquoi devrais-je faire attention ?  ‘ Or il faut savoir que l’usurpation d’identité peut avoir des conséquences sur le long terme.  Bien que de plus en plus d’amateurs et de ‘ noobs ‘ soient tentés de passer du côté obscur, on a ici affaire à des gangs de criminels professionnels ». Il existe plusieurs gangs de cybercriminels très puissants à travers le monde. La Russie, l’Ukraine  et la Chine sont connues pour être les terres d’accueil de nombreux  hackers et cybercriminels, mais d’autres pays comme la Turquie, le Brésil et l’Estonie le sont aussi. Chaque gang dispose d’un panel de compétences variées. Ainsi les plus techniques programment des logiciels intelligents. D’autres sont spécialisés dans le commerce de logiciels malveillants ou d’informations personnelles. La publicité pour des services tels que l’envoi de spam et la construction de botnets évolués est encore gérée par une autre catégorie. Le modèle des cybergangs est particulièrement bien structuré et coordonné, créé dans un seul et unique but : générer du profit. Chaque groupe a un éventail de revenus différents basés sur le risque encouru.  Les programmeurs vendent leurs codes entre 365 € et 2400 € ( le plus cher étant une licence de botnet complet – ZeuS- qui atteint 8 000 € ). Selon des sources clandestines, les programmeurs de ZeuS gagnent plus de  600 000 € par an. Les hébergeurs de botnets peuvent espérer encore mieux selon qu’ils parviennent à infecter le maximum d’ordinateurs et vendre leurs services aux autres parties. Beaucoup de tâches étant sous-traitées, chaque organisation fait ce qu’elle sait faire de mieux et paye pour le reste. C’est le résultat d’un business model extrêmement complexe dans lequel certaines équipes sont responsables du codage, d’autres en charge d’identifier des vulnérabilités, d’autres gèrent les botnets et récupèrent les données, et d’autres encore se concentrent sur le vol d’identité ou les fraudes financières.18 D’après CHAPITRE 3: GESTION DES RISQUES DU COMMERCE ÉLECTRONIQUE ET LE CAS DU VIETNAM 1. Gestion des risques du commerce électronique Au cours des dernières années, le commerce électronique a connu un essor considérable. Toutefois, l’implantation du commerce électronique dans les organisations comporte certains risques qu'il ne faut pas négliger. Par conséquent, il est essentiel que les personnes impliquées dans ce type de projet soient conscientes de ces risques et qu'elles disposent d'outils adéquats pour prévenir, détecter et corriger les événements indésirables. Elles doivent également être en mesure de s'assurer de la pertinence et de l'efficacité des contrôles mis en place.Donc, c’est spécialement d'acquérir les connaissances spécifiques à la gestion du risque inhérent au commerce électronique afin de :1. Bien saisir l'importance de la gestion du risque ;2. Se familiariser avec un modèle de gestion du risque;3. Identifier les risques et les conséquences possibles ;4. Déterminer les contrôles appropriés pour une gestion adéquate du risque ;5. Connaître les techniques relatives à la vérification des contrôles en place ;6. Être en mesure d'analyser des situations afin de déterminer un programme de gestion du risque approprié. 1.1. Étapes de la gestion des risques du commerce électronique 1.1.1 Planning stratégique Le e-commerce est un nouveau canal de distribution. Dans la plupart des cas, l’ouverture de ce canal de vente chamboule les habitudes et les repères de l’entreprise. S’il y a bien des fondamentaux qui restent (marketing mix par exemple), certaines règles du jeu du e-commerce sont tout à fait spécifiques.19 D’après Araok, Conseil de E-commerce, l’édition publié sur  Afin de se transformer en véritable opportunité d’accroissement du chiffre d’affaires et de conquête de nouveaux marchés, votre e-commerce doit s’intégrer pleinement dans votre plan stratégique global, avec les spécificités techniques et métiers qu’il comprend. a. Stratégie e-commerce La première étape est nécessairement une étape d’écoute, afin de comprendre la culture et les ambitions de votre entreprise.Objectifs (chiffre d’affaires, volumes, couverture géographique…) : - Marketing Mix (quel produit, pour quelle cible, a quel prix) ; - Acquisition (comment faire venir les prospects, comment les transformer en clients) ; - Moyens (financiers, humains, …) ; - Timing (planning de déploiement, gestion des priorités, …) b. Audit E-commerce En suite, un site e-commerce bien conçu – sur un plan technique et marketing – est un site vendeur. L’e-commerce a gagné en maturité et ses acteurs adoptent aujourd’hui un certain nombre de bonnes pratiques auxquelles les internautes sont habitués. Pourtant, de nombreux sites souffrent encore de lacunes en matière d’ergonomie et de parcours client. La sanction pour les e-commerçants est lourde. Un manque d’utilisabilité fonctionnelle, des temps de réponse trop longs et ce sont vos prospects qui partent à la concurrence. Sur votre site e-commerce : ce que voient vos prospects et clients ;Notre analyse détaillée de votre vitrine e-commerce permet d’y déceler les points bloquant dans la navigation des internautes et les axes d’amélioration à envisager. - Audit complet de votre site e-commerce ; - Analyse des objectifs, des chiffres clés ; - Analyse des flux de visites de votre site ; - Plan de recommandations et priorisation des chantiers à mettre en œuvre ; - Rédaction de spécifications fonctionnelles des améliorations à envisager ; Sur votre système d’informations : ce qu’utilisent vos employés pour vendre ;définir le système d’information le mieux adapté à votre entreprise. - Analyse de l’existant ; - Analyse des objectifs, afin de bâtir un système en ligne avec la stratégie de l’entreprise ; - Rédaction d’un cahier d’architecture, qui doit prendre en compte le temps. Autrement dit, l’architecture proposée doit être déclinée dans la durée, avec une road map ; - Recherche de prestataires ; - Aide au recrutement des équipes et formation des équipes en place ; c. Développement international Le e-commerce, c’est la promesse d’un marché mondial. Pour les entreprises, c’est la possibilité de vendre les produits dans le monde entier et espérer multiplier facilement son chiffre d’affaires !Pourtant, la réalité est assez complexe : Quelles taxes payer, et dans quel pays ? Comment gérer les différents sites ? Faut-il un site distinct par pays ? Comment gérer les traductions ? Que peut-on mutualiser ? Que doit-on spécialiser ? Quel système informatique mettre en œuvre ? Comment gérer la logistique sur un plan mondial ? Doit-on / Peut-on tout faire depuis un seul entrepôt ou doit on créer des antennes locales ? d. Stratégie multicanal Si votre société distribue ses produits dans des points de vente physiques en plus de son site e-commerce, elle fait déjà du multicanal. C’est le cas de nombreuses entreprises, mais rares sont celles qui tirent parti de toutes les possibilités de cette complémentarité.Imaginons quelques exemples de services multicanal : - J’achète en ligne, et je peux aller chercher le produit dans un magasin proche de chez moi ; - J’achète en ligne, et je peux rapporter le produit dans un magasin ; - Le magasin propose des bornes, pour commander en ligne les produits de la collection, qui ne sont pas en stock ; - Le site de vente en ligne me propose les promotions disponibles dans ma zone physique de chalandise ; - La carte de fidélité assure une compatibilité tous canaux. - … Pour le client, une marque est unique. Pour la marque, sa relation avec un client doit l’être également. Peu importe le canal, il attend une relation personnalisée, que la marque se « souvienne » de lui à travers tous ses canaux. 1.1.2. Analyse du risque Pour réaliser l’analyse du risqué, toutes les violations possible de la sécurité doivent être définies et évaluées en termes de coût et de probabilité de survenance. Ce coût sera évalué par rapport à la mise en œuvre des contrôles : par exemple, le non-paiement sera classé comme un haut risque. Il sera dès lors utile d’implémenter un système de paiement très strict du point de vue de la sécurité, même si cela peut représenter un investissement coûteux. Par ailleurs, il n’est pas toujours question que du seul coût direct : par exemple un site peu disponible et peu attrayant peut également être considéré comme un risque important. 1.1.3. Création d’une stratégie de sécurité du cyber- commerce Il est préalable de créer les procédures de sécurité avant d’implémenter le système. Il faudrait y décrire tous les besoins de sécurité à chaque étape des processus. Cette stratégie doit être écrite et avalisées par le plus haut niveau hiérarchique. Il s’indique de porter une attention particulière aux processus existants et à la stratégie la sécurité sur Internet par exemple concernant les modes de paiement. 1.1.4. Sécuriser l’environnement du commerce électronique Cette étape est le cœur même de la gestion de la sécurité. La politique de la sécurité du commerce électronique doit s’appuyer sur différents technologies comme le cryptage des données, l’identification des consommateurs à l’aide de certifications digitales et autres. L’implémentation de la sécurité devrait traiter tous les risques spécifiques liés au commerce électronique. Cette implémentation et la gestion des contrôles demandent un feed-back régulier avec la stratégie de la sécurité décidée au plus haut de la hiérarchie. La gestion des politiques de sécurité est essentielle. Les stratégies d’entreprise nécessitent une vue globale de l’organisation. Elles déterminent la nature des points de contrôle utilisés pour assurer la sécurité. Ces contrôles peuvent être des configurations standards et applications de sécurité, tels que les antivirus, les pare-feu, les systèmes de prévention des intrusions,… Ces stratégies et ces contrôles doivent également s’appliquer aux serveurs, aux applications et aux postes de travail. Auparavant, la gestion des stratégies était une tâche manuelle et fastidieuse. Grâce aux nouveaux outils, certains aspects de la gestion des politiques sont automatisés, ainsi que l’application permet de gagner du temps d’améliorer la précision et de réduire le coût total de l’investissement. 1.1.5. Gestion quotidienne de la sécurité Identifier les faiblesses des sécurités électroniques est essentiel pour l’organisation. La conservation et l’analyse régulière d’un maximum de données électroniques limitent le risque de violations et peuvent servir de preuve devant un tribunal. Par exemple si un employé gère le paiement électronique, il doit être possible de garder une trace de toutes les manipulations. Hormis cette recherche régulière des faiblesses, le suivi et l’analyse régulière des types de comportement peuvent contribuer fortement à l’améliorer de la marche des affaires de l’entreprise. Les données tirées de tableaux de bord de sécurité peuvent servir à améliorer l’efficacité du commerce électronique. Par exemple, une analyse des données des visites sur le site peut contribuer o déterminer les clés du succès ou d’échec de ce site et permet de s’adapter rapidement aux évolutions de l’environnement d’Internet (George Attaya & Harry Croisiers, 2000). 1.2. Mesures pour gérer les risques du commerce électronique 1.2.1. Sécuriser les transactions en ligne Pour que le commerce électronique puisse évoluer de manière idéale, il faut que les utilisateurs aient confiance dans le système. Les consommateurs et les sociétés doivent s’assurer que leurs transactions ne seront pas interceptées, modifiées ou utilisées de manière non-appropriée par des tiers. Ils doivent également être sûrs de l’identité du co-contractant, c’est-à-dire qu’il doit y avoir une sécurité juridique quant à l’identité de chaque contractant. Par conséquent, les moyens techniques utilisés pour conclure des contrats ou pour effectuer n’importe quelle autre transaction économique en ligne doivent être sécurisés. Pour ce qui concerne plus particulièrement la conclusion de contrats électroniques, le grand défi était d’inventer une alternative électronique à la signature manuscrite, qui pourrait remplir les mêmes fonctions, c’est-à-dire garantir l’identité du contractant, rendre la déclaration de volonté de chaque contractant obligatoire pour lui-même et de cette manière rendre le contrat électronique obligatoire pour les parties contractantes. La solution à ce problème est la signature électronique. Il s’agit d’une méthode électronique pour authentifier un document, en y apposant une signature qui remplit les fonctions d’une signature manuscrite. Le désavantage des transactions électroniques est que les données fournies par les contractants peuvent être accessibles à des tiers, volées, manipulées ou utilisées de mauvaise foi. Cela est possible car les données d’identification incluses dans les formulaires des transactions que les parties remplissent ne sont pas envoyées de serveur, et ainsi toute personne ayant des connaissances suffisantes en informatique peut les intercepter. Pour éviter ce risque, il est recommandé de prendre une série de mesures de protection, telles que : fournir uniquement à l’autre partie les informations qui sont strictement nécessaires, ne pas transmettre d’informations confidentielles et ne pas envoyer le numéro d’une carte de crédit, sauf s’il s’agit d’une connexion avec un serveur sécurisé. De plus, il faut toujours consulter la politique appliquée par le vendeur, la manière dont il traite les informations concernant la vie privée, le système de sécurité qu’il utilise, etc. Mais au-delà de ces mesures de précaution générales, un ensemble de mécanismes techniques pour la protection des informations transmises et échangées par des moyens électroniques entre les parties a été développé. Les systèmes de sécurité désignés pour la protection efficace des transactions en ligne doivent assurer les services suivants : - Confidentialité : Ceci est un service de protection efficace contre la divulgation volontaire, accidentelle ou de mauvaise foi des données confidentielles échangées lors d’une communication spécifique. La confidentialité de ces données doit être assurée et l’accès par les personnes non-autorisées aux informations transmises par voie électronique lors d’une transaction commerciale doit être restreint. - Intégrité des données : Le but de ce service est de garantir que les données ne vont pas être altérées durant la transaction, c’est-à-dire que les données que le destinataire va recevoir doivent être tout à fait identiques à celles que l’expéditeur a envoyées. - Authenticité des données : Il s’agit d’un service qui vérifie l’identité des personnes participant à la transaction et les données qu’elles envoient par voie électronique. L’authenticité peut concerner les données envoyées par l’expéditeur, aussi bien que des informations concernant le destinataire. - Autres services De plus, un système de sécurité efficace peut avoir les caractéristiques suivantes : + Contrôle d’accès : service destiné à empêcher les tiers d’avoir accès aux informations transmises par les parties. + Pas de répudiation : service qui garantit que les parties participant à la transaction ne peuvent pas nier son exécution. C’est-à-dire que, d’un côté, l’expéditeur du message ne peut pas nier son contenu et que, de l’autre côté, le destinataire ne peut pas nier avoir reçu le message. Avec la mise en œuvre de différentes méthodes électroniques de paiement, le nombre de transactions commerciales effectuées entièrement par Internet augmente (entièrement dans le sens où tout est fait par Internet, du lancement de l’offre au paiement des produits ou services offerts). Voici quelques-uns de systèmes de sécurité les plus courants utilisés : a. Le chiffrement Le chiffrement est le processus qui consiste à rendre les données inintelligibles pour quiconque sauf leur destinataire. Les deux principaux types de chiffrement utilisés aujourd’hui sont le chiffrement à clé secrète et le chiffrement à clé publique.20 D’après Centre du cyberfutur de Liaison Entreprise 2007 : « Technologies habilitantes pour la sécurité des transactions électroniques ».Canada www.cyberfutur.ca/alberta - Clé secrète  Le chiffrement avec clé secrète entraîne l’utilisation d’une seule clé connue de l’expéditeur et du destinataire du message. Après avoir créé le message, l’expéditeur le chiffre avec sa clé et le communique au destinataire qui le déchiffre en utilisant une copie de la clé utilisée pour le chiffrement. Le chiffrement avec une clé secrète a ses limites, particulièrement en ce qui concerne la distribution des clés. Pour assurer la confidentialité, chaque expéditeur devrait fournir une différente clé à chaque destinataire avec lequel il entend communiquer; autrement chaque destinataire potentiel serait capable de lire tous les messages, qu’ils lui soient destinés ou non. Cette méthode, si elle est relativement facile à gérer lorsque les parties ne sont pas nombreuses (par exemple expédier un courriel à un ami), n’est pas pratique pour le commerce électronique où il peut falloir communiquer avec des milliers de clients. Une autre limite du chiffrement avec une clé secrète est l’incapacité de cette méthode d’assurer la non-répudiation. Étant donné que les deux parties ont la même clé, l’une d’entre elles peut créer un message avec la clé secrète partagée et soutenir que le message a été émis par l’autre partie. S’il est utilisé seul, le chiffrement avec une clé secrète ne convient donc pas au commerce électronique. On utilise plutôt un système appelé chiffrement avec une clé publique. - Clé publique Le chiffrement avec une clé publique entraîne l’utilisation de deux clés : une que l’on peut utiliser pour chiffrer les messages (la clé publique); l’autre peut servir à chiffrer ou à déchiffrer les messages (la clé privée). On peut utiliser ces paires de clés de façons différentes : pour assurer la confidentialité ou l’authentification. Pour assurer la confidentialité, on chiffre le message avec la clé publique, car il ne pourra ainsi être déchiffré que par le détenteur de la clé privée. En ce qui concerne l’authentification, il faut chiffrer le message avec la clé privée. Lorsque le destinataire a déchiffré le message avec la clé publique, il est assuré que le message a bel et bien été émis par le détenteur de la clé privée. Étant donné qu’on peut mettre la clé publique à la disposition d’un grand nombre d’utilisateurs, par exemple par l’intermédiaire d’un serveur ou d’une tierce partie, le chiffrement avec une clé publique ne présente pas les mêmes problèmes de distribution et de gestion que le système de la clé secrète. Le système de la clé publique a entre autres les désavantages d’être relativement lent. Par conséquent, lorsqu’il est utilisé à des fins d’authentification, il est préférable de ne pas chiffrer tout le message, particulièrement s’il est long. Pour contourner ce problème, on utilise la signature numérique. Figure : Utilisation une clé publique Source : b. La signature électronique D’après Wikipedia, La signature numérique est un mécanisme permettant de garantir l'intégrité d'un document électronique et d'en authentifier l'auteur, par analogie avec la signature manuscrite d'un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes : - Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature. - Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte. Pour cela, les conditions suivantes doivent être réunies : - Authentique : L'identité du signataire doit pouvoir être retrouvée de manière certaine. - Infalsifiable : La signature ne peut pas être falsifiée. Quelqu'un ne peut se faire passer pour un autre. - Non réutilisable: La signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document. - Inaltérable : Un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier. - Irrévocable : La personne qui a signé ne peut le nier. Les signatures numériques sont exécutées au moyen d’un chiffrement avec une clé publique et servent à vérifier l’origine et le contenu d’un message. Le destinataire de la signature numérique peut être assuré que le message provient de l’expéditeur. D’ailleurs, étant donné que le fait de changer un seul caractère du message peut modifier le résumé du message de manière imprévisible, le destinataire peut être assuré que le message n’a pas été changé après la création du résumé. La signature électronique utilise le principe de cryptage (chiffrement) à clé publique : le chiffrement est réalisé avec la clé privée, et le chiffrement avec la clé publique. Un document à signer est tout d’abord traité par une fonction hachage21 hachage : une méthode de chiffrement de données, ce qui permet de donner une identification à un fichier, comme une empreinte identifie une personne. Une fonction de hachage (parfois appelée fonction de condensation) est une fonction permettant d’obtenir un condensé (appelé aussi condensat ou haché ou en anglais message digest) d’un texte, c'est-à-dire une suite de caractères assez courte représentant le texte qu’il condense.) qui permet d’obtenir son empreinte digitale. Celle-ci est ensuite cryptée avec la clé privée du signataire. Le résultat obtenu constitue la signature électrique du document. Les e-signatures avancées utilisent un simple système de chiffrage asymétrique. Signer un document signifie le coder de la manière suivante : l’utilisateur dispose d’une clé publique. Il existe également un annuaire de clés publiques, accessible au grand public. L’utilisateur est un outre muni d’une clé privée. Chaque utilisateur possède sa propre clé privée, qui n’est connue de personne d’autre que lui. La procédure de signature consiste à joindre la clé privée au message et à la coder à l’aide de la clé publique. Après l’envoi du message au destinataire, il peut être ouvert en utilisant la clé publique. c. Le pare feu Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau suivante : - une interface pour le réseau à protéger (réseau interne) ; - une interface pour le réseau externe. Figure : Le Pare-feu Source : Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs réseaux externes. Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système pourvu que : - La machine soit suffisamment puissante pour traiter le traffic ; - Le système soit sécurisé ; - Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur. Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewall personnel (pare-feu personnel). Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la machine, et notamment empêcher les attaques, c'est-à-dire des programmes nuisibles ouvrant une brêche dans le système afin de permettre une prise en main à distance de la machine par un pirate informatique. Le firewall personnel permet en effet de repérer et d'empêcher l'ouverture non sollicitée de la part d'applications non autorisées à se connecter. d. Communication sécurisée De nombreuses applications transmettent des données confidentielles sur des réseaux, entre différents utilisateurs finaux et entre des nœuds d'applications intermédiaires. Il peut s'agir, entre autres, d'informations d'identification utilisées pour l'authentification, de données telles que des numéros de carte de crédit ou d'informations liées à des transactions bancaires. Pour éviter la divulgation involontaire des informations et pour empêcher une modification non autorisée des données durant leur transit, le canal entre les points de terminaison de la communication doit être sécurisé. La communication sécurisée offre les deux fonctionnalités suivantes : - Confidentialité. La confidentialité consiste à garantir le caractère privé et confidentiel des données et à empêcher des personnes susceptibles d'être équipées de logiciels de surveillance du réseau de consulter ces données. La confidentialité est généralement assurée au moyen du cryptage. - Intégrité. Les canaux de communication sécurisés doivent également garantir que les données sont protégées contre toute modification accidentelle ou délibérée (malveillante) lors de leur transit. L'intégrité est généralement assurée au moyen de codes d'authentification des messages (MAC, Message Authentication Code). De nos jours, il existe de différents technologies suivantes : - SSL (Secure Sockets Layer) / TLS (Transport Layer Security). Ces technologies sont le plus souvent utilisées pour sécuriser le canal entre un navigateur et un serveur Web. Cependant, elles permettent aussi de sécuriser les communications et les messages des services Web échangés en provenance et à destination d'un serveur de base de données qui exécute Microsoft® SQL Server? 2000. - IPSec (Internet Protocol Security). Le protocole IPSec offre une solution de communication sécurisée au niveau du transport et peut être utilisé pour sécuriser les données transmises entre deux ordinateurs, un serveur d'applications et un serveur de base de données, par exemple. - Cryptage RPC (Remote Procedure Call). Le protocole RPC utilisé par DCOM (Distributed COM) offre un niveau d'authentification (confidentialité des paquets) qui entraîne le cryptage de chaque paquet de données envoyé entre le client et le serveur. Lorsqu'une demande Web transite sur les différents niveaux de déploiement physique de votre application, elle traverse plusieurs canaux de communication. Un modèle de déploiement d'application Web couramment utilisé est présenté dans la figure   Figure: Modèle de déploiement Web courant Dans ce modèle de déploiement courant, une demande transite par trois canaux distincts. La liaison client/serveur Web peut être établie sur Internet ou sur l'intranet de l'entreprise et utilise généralement le protocole HTTP. Les deux liaisons restantes sont établies entre des serveurs internes dans le domaine de l'entreprise. Néanmoins, les trois liaisons peuvent engendrer des problèmes de sécurité potentiels. De nombreuses applications reposant purement sur un intranet transmettent des données sensibles entre les différents niveaux : des applications de ressources humaines et de gestion des salaires qui traitent des données confidentielles relatives aux employées, par exemple. La figure ci- dessous indique comment chaque canal peut être sécurisé grâce à l'association du cryptage RPC, SSL et IPSec. Figure : Cryptage RPC, SSL et IPSec. Le choix de la technologie dépend de plusieurs facteurs, notamment du protocole de transport, des technologies sur les points de terminaison et de considérations concernant l'environnement (telles que le matériel, les versions de système d'exploitation, les pare-feu). 1.2.2.Vérifier l’intégrité des informations Pour les acheteurs, avant d’effectuer une transaction en ligne, il faut certainement vérifier si les informations importantes de l’entreprise à travers des points suivants : - la clarté des informations disponibles sur l'identité de la société, - la mention des coordonnées complètes de la société sur une page du site (nom de la société, adresse postale, adresse électronique et un numéro de téléphone), - les conditions générales de vente, - les modalités de livraison, - les garanties en cas de non réception de votre commande, - ….. 1.2.3. Stockage de l’informations sensibles a. Pour l’entreprise Alors que l'informatique est devenue pour l'entreprise un outil incontournable de gestion, d'organisation, de production et de communication, les données mises en œuvre par le système d'information ainsi que les échanges internes et externes sont exposés aux actes de malveillance de différentes natures et sans cesse changeants. Il convient en conséquence de ne pas renoncer aux bénéfices de l'informatisation, et pour cela de faire appel à des spécialistes qui apportent une garantie contre les risques, d'une manière permanente, en préservant la stricte confidentialité des données, et pour un budget raisonnable. Demandez un audit-sécurité de votre système d'information : - l'objectif est de dresser un état des lieux des vulnérabilités et de proposer s'il y a lieu des solutions ; - des tests intrusifs évalueront les risques portés par vos accès externes (interconnexions avec les autres sites, Internet, accès distants) : usurper les privilèges d’utilisateur ou d’administrateur, introduire des « chevaux de Troie » ; infecter le système d’information avec des virus ; déni de service ; accès à des informations protégées (via la consultation et/ou la modification des fichiers) ; efficacité des éléments d'interconnexion (routeurs, filtres, "pare-feux") ; possibilité de rebondir, d'un site distant à un autre ; etc. Bâtissez le réseau virtuel global de votre entreprise : - protégez les données de l'entreprise, les transferts d’informations entre les différents sites d'implantation ; - augmentez la productivité du système d'information : par la mutualisation des équipements et des services liés à la sécurité, par une plus grande facilité de management, par la mise en place d'un système unique si votre entreprise a plusieurs sites. Choisissez l'externalisation vers un partenaire spécialisé : - il est possible de déléguer la protection des accès à votre réseau d'entreprise ; - vous règleriez d'un coup toutes les difficultés liées à la maîtrise permanente de technologies complexes et très (trop) spécifiques ; - vous ne perdriez pas d'énergie dans la gestion délicate de contraintes humaines (heures supplémentaires, service à assurer 24h/24, quelles équipes et procédures de relais, etc.) b. Pour les consommateurs - Plusieurs solution pour garder les informations sensibles des clients comme : le numéro d’identité, numéro de carte bancaire, sa date d'expiration et le cryptogramme visuel (les trois derniers chiffres au dos de votre carte bancaire),…. En gravant les données sur des CD-Rom, des DVD, des disquettes vierges. - Ne pas faire vos achats en ligne à partir de lieux publics. Même si on affirme que les précautions de base ont été prises, on ne sait pas si elles ont été effectuées dans l'ordre et correctement. - Assurer également que la session Internet est sécurisée. 1.2.4. Utiliser un logiciel antivirus Les logiciels antivirus ont été créés pour permettre l'identification, la neutralisation et l'élimination des logiciels malveillants (virus, spyware, chevaux de Troie,etc.) qui utilisent les vulnérabilités du système.Les antivirus sont à même d'analyser l'intégralité de votre disque dur et de votre ordinateur. Les plus évolués peuvent même analyser les fichiers qui sont échangés avec l'extérieur. De ce fait, l'intégralité de vos e-mails, de même que tous les fichiers copiés sur ou en provenance de supports amovible comme les Cd-roms, les clefs USB, les disques durs externes, les disquettes, les connexions réseau, etc. sont analysés de manière à éviter toute infection par des fichiers malicieux. Pour réussir sa mission, un antivirus utilise différents types de méthode : La méthode des dictionnaires : À la manière des dictionnaires classiques, les concepteurs d'antivirus créent une base de données qui regroupent tout les virus connu ou déjà rencontré. Puisque chaque jour de nouvelles menaces apparaissent, cette méthode n'est pas suffisante, de ce fait il est nécessaire que les antivirus utilisent d'autres méthodes que nous allons vous énoncer. La liste blanche : la liste blanche regroupe tous les programmes que vous aurez au préalablement choisis et qui sont considérés comme fiable et de confiance. De ce fait, si un programme ne figurant pas sur cette liste essaye de s'exécuter sur votre ordinateur et bien votre antivirus le bloquera aussitôt. Cependant l'efficacité de cette méthode dépendra de votre capacité à bien évaluer les programmes fiables ou non. Analyse des comportements suspects : Comme son nom l'indique, cette technique s'appuie sur l'analyse des comportements des fichiers. En effet, si un programme agit de manière suspecte (donc risque de virus) et bien votre antivirus vous préviendra aussitôt et vous pourrez prendre les mesures nécessaires. Contrairement aux méthodes précédentes, celle-ci permet de détecter les menaces les plus récentes. - Analyse heuristique : Très en vogue dans la nouvelle gamme d'antivirus, cette méthode permet de détecter les nouvelles menaces et de manière automatique les communiquer au concepteur de l'antivirus qui pourra au plus vite mettre en place une mise à jour contre ces menaces. - Bac à Sable ou SandBox : Cette technique est très appréciée par les utilisateurs d'antivirus, car elle leur permet d'exécuter des fichiers dans un environnement stérile totalement indépendant de votre système, de ce fait ils peuvent voir si oui ou non ces fichiers sont des menaces, si jamais il s'avère que l'un des fichiers est un virus et bien cela ne causera aucun dégât sur votre ordinateur, et c'est là toute l'utilité de cette technique. En 2011, le top des 5 logiciels antivirus sont : BitDefender, Eset, Norton, Panda, Gdata.22 D’après 1.2.5. Assurance tous risques électroniques  L’assurance tous risque électronique couvre l'assuré contre les dégâts causés à ses appareils électroniques. Tous ces appareils sont souvent très sensibles à la surtension et au vol. Les entreprises qui utilisent des appareils électroniques ainsi que des installations mécaniques pointues. On distingue 3 groupes : - le matériel informatique : ordinateurs, imprimantes, modems - le matériel de bureau : téléphone, fax, photocopieuse - l’équipement technique : les appareils de mesure et de réglage ainsi que les installations médicales. Le preneur d’assurance peut être le propriétaire, le locataire ou le preneur de leasing. L’assurance octroie une couverture : - pour tous les événements soudains et imprévisibles ayant une cause externe - en cas de vol ou de tentative de vol. Il s’agit d’une couverture tous risques. En d’autres termes, tout est assuré à l’exception de ce qui est exclu expressément. 3.2. Actualité et solutions pour lutter contre aux risques du commerce électronique au Vietnam 3.2.1. Actualité des risques du commerce électronique au Vietnam Le commerce électronique commence à se développer au Vietnam mais il rencontre encore maintes difficultés, raison pour laquelle il n'a pas encore réellement pris son essor... Après avoir bien compris l’atout du commerce électronique, et après son intégration à l’Organisation Mondiale du Commerce, le gouvernement vietnamien a mis en place des orientations, des politiques pour favoriser le développement du commerce électronique, mais ces efforts ne sont pas suffisants Quatre années après le lancement du plan de développement de l'e-commerce pour la période 2006-2010, cette modalité de commerce se développe partout dans le pays. Selon une enquête du ministère de l'Industrie et du Commerce, la quasi-totalité des 2.000 entreprises interrogées effectuent l'e-commerce depuis 2009. D'après les experts en technologies de l'information, le coût de l'e-commerce n'a pas augmenté ces dernières années alors que sa rentabilité demeure toujours aussi élevée. On le trouve désormais dans tous les secteurs. Mais les consommateurs vietnamiens ne témoignent pas encore d'une réelle confiance dans l'achat sur Internet, question d'environnement social, d'habitude de consommation et de connaissances insuffisantes dans son emploi. Ce sont les raisons majeures pour lesquelles le développement du commerce électronique n'a pas encore réellement pris son essor. Le pays compte actuellement 30 millions d'internautes. Ce nombre s'élèvera à quelque 40 millions dans les trois années à venir. Au Vietnam, acheteurs et vendeurs n'ont pas de confiance en transactions en ligne, la plupart des consommateurs n'utilisant pas de carte de crédit. Une forte croissance d'une entreprise de commerce électronique implique qu'elle bénéficie d'un centre d'e-commerce assurant l'utilité et la sécurité. Au dire d'experts, les entreprises doivent guider les consommateurs dans l'utilisation de leurs services. "Les banques s'attachent à améliorer leurs réseaux afin de mieux gérer et mieux contrôler les transactions bancaires électroniques", explique Nguyên Thi Huong Giang, de la banque Dai Duong (Ocean Bank). 23 D’après Le courrier du Viet Nam Cette modalité de commerce permet aux entreprises de réduire leurs frais de distribution et d'économiser du temps, d'où une forte augmentation de compétitivité. Le B2B (business to business), le B2C (business to consumer), le C2C (consumer to consumer) se développent de plus en plus. Pour un meilleur développement du commerce électronique, les politiques de lutte contre la fraude doivent être élaborées et appliquées, les administrations compétentes doivent coordonner leur activité pour créer un environnement de commerce en ligne sain et de sécurité, ainsi que pour sanctionner les infractions. De plus, il existe encore un grand écart entre l'utilisation d'Internet pour la recherche de biens et la vraie communication électronique. E-commerce au Vietnam est encore un «tour pour voir les fleurs», mais ayant pas la profondeur et le développement afin de créer une percée dans des marchés comme les États-Unis, Japon, Chine ... 3.2.2. Solutions pour les risques du commerce électronique au Vietnam 3.2.2.1. Pour l’entreprise 3.2.2.2. Pour le consommateur 3.2.2.3. Pour le Gouvernement CONCLUSION SITOGRAPHIE www.e-commerces.eu www.ecommerce101.com Centre du cyberfutur de Liaison Entreprise 2007 : « Technologies habilitantes pour la sécurité des transactions électroniques ».Canada www.cyberfutur.ca/alberta Ontrack Data Recovery, Inc www.maisondudroit.org/.../F06%20%20Intervention%20de%20M.%20Caprioli.pdf BIBLIOGRAPHIE - George Ataya & Harry Croisiers (2000), « Risques, contrôles et sécurité du commerce électronique » - Bulletin d’information IRE n0 3/2000, Bruxelles. - De Marcellis Nathalie & A.Gratacap (1999), «  Technologies de l’information et de la communication et gestion des risques : bilan et perspectives assurantielles pour l’entreprise », Revue Communication et Stratégies, n0 33. - Jean-Marc Boccart ( le 12 Octobre 2004), «  Assurer le risque informatique : comment, quoi et à quel coût ? » - Feprabel Namur. - Ministère vietnamien du Commerce et de l’Industrie (2010), « Rapport sur le commerce électronique au Vietnam » - Nguyen Phuong Anh(2008), « Risques et gestion des risque u commerce électronique le cas du Vietnam », mémoire d’étude, Ecole supérieure de Commerce extérieur , Hanoi - Nguyen Anh Son, 2010, « Législation vietnamienne en matière de Commerce électronique », Maison du droit Vietnamo Français. - Dao Thi Hong Van, (2003), « Sécurité du commerce électronique ». Maison d’édition de la Poste. SOMMAIRE SOMMAIRE CHAPITRE 1: GÉNÉRALITÉS DU COMMERCE ÉLECTRONIQUE 1 1. Naissance et définition du commerce électronique : 1 1.1. Naissance : 1 1.2. Définition : 3 2. Opérations commerciales du commerce électronique 5 2.1. B2B (Business to Business) 5 2.2. B2C 6 2.3. B2A (Business to Administration) 7 2.4. A2C (Administration to Customer) 8 3. Avantages et inconvénients du commerce électrique 9 3.1. Avantages 9 3.1.1. Rapidité: 9 3.1.2. Adaptabilité: 10 3.2. Inconvénients du commerce électronique 11 3.2.1. Inconvénients du point de vue du consommateur 12 3.2.2. Inconvénients du point de vue de l’entreprise 12 4. Modes de paiement du commerce électronique 15 5. Actualités du commerce électronique 16 5.1. Commerce électronique dans le monde entier 16 5.1.1. Marché européen : 16 5.1.2. En France 17 5.2. Commerce électronique Au Vietnam 19 5.2.1. Globalisation du commerce en ligne vietnamien 19 5.2.2. Chiffres importants 20 5.2.3. Les premiers réseaux commerciaux du Vietnam 22 CHAPITRE 2: RISQUES DU COMMERCE ÉLECTRONIQUE 24 1. Définition 24 2. Différentes types de risques du commerce électronique 25 2.1. Risques classiques 26 2.1.1. De la part de l’acheteur 26 2.1.1.1. Risque provenant des clauses du contrat 26 2.1.1.2. Risque de non-livraison 27 2.1.1.3. Risque de divulgation des données 28 2.1.2. De la part du vendeur 29 2.1.2.1. Risque d’impayé 29 2.1.2.2. Risque de fraude 30 2.1.2.3. Risque de vol 31 2.1.2.4. Risque de violation des droits de la propriété intellectuelle 31 2.1.2.5. Risque juridique 32 2.2. Risques liés particulièrement au commerce électronique 34 2.2.1. De la part de l’internaute 34 2.2.1.1. Risque d’infection par virus 34 2.2.1.2. Risque de spam 35 2.2.1.3. Risque d’usurpation d’identité 38 2.2.2. De la part de l’entreprise 41 2.2.2.1. Risque de technologie 41 a. Trous de sécurité 41 b. Innovation 42 c. Incomptabilité de technologie 42 2.2.2.2. Risque lié au site Web 43 a. Mauvaise gestion du site 43 b. Attaque par déni de service 44 c. Perte de données sensibles 46 d. Risques à cause des réseaux sociaux 47 3. Influences des risques électroniques 49 3.1. Au part de l’économie 49 3.1.2. Renforcement de l’écart entre les pauvres et les riches 49 3.1.3. Risque de dépendance technologique 50 3.2. Au part de l’entreprise 51 3.2.1. Dommage matériel 51 3.2.2. Dommage immatériel 51 a. Interruption des affaires 52 b. Perte des opportunités de commerce 53 c. Influence sur l’image de l’entreprise 53 3.3. Au part du consommateur 53 3.3.1. Dommage matériel 54 3.3.2. Dommage immatériel 54 CHAPITRE 3: GESTION DES RISQUES DU COMMERCE ÉLECTRONIQUE ET LE CAS DU VIETNAM 58 1. Gestion des risques du commerce électronique 58 1.1. Étapes de la gestion des risques du commerce électronique 59 1.1.1 Planning stratégique 59 a. Stratégie e-commerce 59 b. Audit E-commerce 60 c. Développement international 61 d. Stratégie multicanal 61 1.1.2. Analyse du risque 62 1.1.3. Création d’une stratégie de sécurité du cyber- commerce 63 1.1.4. Sécuriser l’environnement du commerce électronique 63 1.1.5. Gestion quotidienne de la sécurité 64 1.2. Mesures pour gérer les risques du commerce électronique 64 1.2.1. Sécuriser les transactions en ligne 64 a. Le chiffrement 67 b. La signature électronique 70 c. Le pare feu 71 d. Communication sécurisée 73 1.2.2.Vérifier l’intégrité des informations 75 1.2.3. Stockage de l’informations sensibles 76 a. Pour l’entreprise 76 b. Pour les consommateurs 78 1.2.4. Utiliser un logiciel antivirus 78 1.2.5. Assurance tous risques électroniques 80 3.2. Actualité et solutions pour lutter contre aux risques du commerce électronique au Vietnam 81 3.2.1. Actualité des risques du commerce électronique au Vietnam 81 3.2.2. Solutions pour les risques du commerce électronique au Vietnam 83 3.2.2.1. Pour l’entreprise 83 3.2.2.2. Pour le consommateur 83 3.2.2.3. Pour le Gouvernement 83 CONCLUSION 84 SITOGRAPHIE 84 BIBLIOGRAPHIE 86